Geek School Learning Windows 7 - Dostęp zdalny
W ostatniej części serii przyjrzeliśmy się, jak zarządzać komputerami Windows i korzystać z nich z dowolnego miejsca, o ile jesteś w tej samej sieci. Ale co, jeśli nie jesteś?
Koniecznie zapoznaj się z poprzednimi artykułami z tej serii Geek School na Windows 7:
- Przedstawiamy szkołę "How-To Geek"
- Aktualizacje i migracje
- Konfigurowanie urządzeń
- Zarządzanie dyskami
- Zarządzanie aplikacjami
- Zarządzanie programem Internet Explorer
- Podstawy adresowania IP
- Networking
- Sieć bezprzewodowa
- zapora systemu Windows
- Administracja zdalna
I pozostańcie czujni przez resztę serii przez cały ten tydzień.
Ochrona dostępu do sieci
Ochrona dostępu do sieci to próba Microsoftu kontrolowania dostępu do zasobów sieciowych w oparciu o stan zdrowia klienta, który próbuje się z nim połączyć. Na przykład w sytuacji, gdy jesteś użytkownikiem laptopa, może upłynąć wiele miesięcy, kiedy jesteś w drodze i nie podłączasz laptopa do sieci firmowej. W tym czasie nie ma gwarancji, że Twój laptop nie zostanie zainfekowany wirusem lub złośliwym oprogramowaniem, lub że otrzymasz nawet aktualizacje definicji antywirusowych.
W takiej sytuacji, po powrocie do biura i podłączeniu urządzenia do sieci, NAP automatycznie określi stan urządzeń na podstawie zasad skonfigurowanych na jednym z serwerów ochrony dostępu do sieci. Jeśli urządzenie, które połączyło się z siecią, nie przejdzie kontroli stanu, automatycznie zostanie przeniesione do super-ograniczonej sekcji sieci zwanej strefą naprawczą. W strefie remediacji serwery naprawcze automatycznie spróbują rozwiązać problem z urządzeniem. Niektóre przykłady mogą być:
- Jeśli zapora zostanie wyłączona, a zasada wymaga, aby była włączona, serwery naprawcze włączą zaporę sieciową.
- Jeśli w Twojej polityce dotyczącej kondycji jest napisane, że musisz mieć najnowsze aktualizacje systemu Windows, a Ty nie, możesz mieć serwer WSUS w strefie naprawczej, który zainstaluje najnowsze aktualizacje na kliencie.
Urządzenie zostanie przeniesione z powrotem do sieci korporacyjnej, jeśli serwer NAP uzna to za zdrowe. Istnieją cztery różne sposoby egzekwowania ochrony dostępu do sieci, z których każdy ma swoje zalety:
- VPN - Korzystanie z metody wymuszania VPN jest przydatne w firmie, w której pracownicy zdalni pracują zdalnie z domu, korzystając z własnych komputerów. Nigdy nie możesz być pewien, jakie złośliwe oprogramowanie może zainstalować ktoś na komputerze, nad którym nie masz kontroli. Gdy użyjesz tej metody, stan zdrowia klienta będzie sprawdzany za każdym razem, gdy zainicjuje połączenie VPN.
- DHCP - Gdy używasz metody wymuszania DHCP, klient nie otrzyma prawidłowych adresów sieciowych z twojego serwera DHCP, dopóki nie zostaną uznane za zdrowe przez twoją infrastrukturę NAP.
- IPsec - IPsec to metoda szyfrowania ruchu sieciowego za pomocą certyfikatów. Chociaż nie jest to zbyt częste, możesz również użyć IPsec do wymuszania ochrony dostępu do sieci.
- 802,1x - 802.1x jest czasem nazywany uwierzytelnianiem na podstawie portu i jest metodą uwierzytelniania klientów na poziomie przełącznika. Korzystanie z protokołu 802.1x w celu egzekwowania zasad ochrony dostępu do sieci jest standardową praktyką we współczesnym świecie.
Połączenia telefoniczne
Z jakiegoś powodu w dzisiejszych czasach Microsoft nadal chce, abyś wiedział o tych prymitywnych połączeniach telefonicznych. Połączenia telefoniczne używają analogowej sieci telefonicznej, znanej również jako POTS (zwykła stara usługa telefoniczna), do dostarczania informacji z jednego komputera na drugi. Robią to za pomocą modemu, który jest kombinacją słów modulujących i demodulujących. Modem jest podłączony do komputera, zwykle za pomocą kabla RJ11 i moduluje strumienie informacji cyfrowych z komputera do sygnału analogowego, który może być przesyłany przez linie telefoniczne. Kiedy sygnał dociera do celu, jest demodulowany przez inny modem i zamieniany z powrotem w sygnał cyfrowy, który komputer może zrozumieć. Aby utworzyć połączenie dial-up, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.
Następnie kliknij Skonfiguruj nowe połączenie lub hiperłącze sieciowe.
Teraz wybierz Skonfiguruj połączenie dial-up i kliknij Dalej.
Stąd możesz wypełnić wszystkie wymagane informacje.
Uwaga: jeśli pojawi się pytanie wymagające skonfigurowania połączenia dial-up na egzaminie, dostarczy ono odpowiednie informacje.
Wirtualne sieci prywatne
Wirtualne sieci prywatne to prywatne tunele, które możesz ustanowić w sieci publicznej, np. W Internecie, dzięki czemu możesz bezpiecznie łączyć się z inną siecią.
Na przykład możesz ustanowić połączenie VPN z komputera w sieci domowej, z siecią firmową. W ten sposób wyglądałoby tak, jakby komputer w sieci domowej był częścią twojej sieci firmowej. W rzeczywistości można nawet połączyć się z udziałami sieciowymi, na przykład po zabraniu komputera i fizycznym podłączeniu go do sieci roboczej za pomocą kabla Ethernet. Jedyną różnicą jest oczywiście szybkość: zamiast prędkości Gigabit Ethernet, które miałbyś, gdybyś był fizycznie w biurze, będziesz ograniczony szybkością połączenia szerokopasmowego.
Pewnie zastanawiasz się, jak bezpieczne są te "prywatne tunele", odkąd "tunelują" przez internet. Czy każdy może zobaczyć twoje dane? Nie, nie mogą, a to dlatego, że szyfrujemy dane przesyłane przez połączenie VPN, stąd nazwa wirtualna "prywatna" sieć. Protokół używany do enkapsulacji i szyfrowania danych przesyłanych przez sieć należy do Ciebie, a system Windows 7 obsługuje następujące elementy:
Uwaga: Niestety, te definicje musisz znać na pamięć podczas egzaminu.
- Protokół tunelowania punkt-punkt (PPTP) - Protokół tunelowania Point to Point pozwala, aby ruch sieciowy był hermetyzowany w nagłówek IP i przesyłany przez sieć IP, na przykład Internet.
- Kapsułkowanie: Ramki PPP są enkapsulowane w datagramie IP, używając zmodyfikowanej wersji GRE.
- Szyfrowanie: Ramki PPP są szyfrowane przy użyciu Microsoft Point-to-Point Encryption (MPPE). Klucze szyfrowania są generowane podczas uwierzytelniania, gdy używane są protokoły Microsoft Challenge Handshake Authentication Protocol wersja 2 (MS-CHAP v2) lub protokół Extensible Authentication Protocol - Transport Layer Security (EAP-TLS).
- Protokół tunelowania warstwy 2 (L2TP) - L2TP jest bezpiecznym protokołem tunelowania używanym do transportu ramek PPP za pomocą protokołu internetowego, częściowo opiera się na protokole PPTP. W przeciwieństwie do PPTP, implementacja L2TP przez Microsoft nie używa MPPE do szyfrowania ramek PPP. Zamiast tego L2TP używa IPsec w trybie transportu dla usług szyfrowania. Połączenie L2TP i IPsec jest znane jako L2TP / IPsec.
- Kapsułkowanie: Ramki PPP są najpierw opakowane nagłówkiem L2TP, a następnie nagłówkiem UDP. Wynik jest następnie enkapsulowany przy użyciu IPSec.
- Szyfrowanie: Wiadomości L2TP są szyfrowane za pomocą szyfrowania AES lub 3DES za pomocą kluczy wygenerowanych w procesie negocjacji IKE.
- Protokół Secure Socket Tunneling Protocol (SSTP) - SSTP to protokół tunelowania wykorzystujący protokół HTTPS. Ponieważ port TCP 443 jest otwarty w większości korporacyjnych zapór ogniowych, jest to doskonały wybór dla krajów, które nie zezwalają na tradycyjne połączenia VPN. Jest również bardzo bezpieczny, ponieważ do szyfrowania używa certyfikatów SSL.
- Kapsułkowanie: Ramki PPP są enkapsulowane w datagramach IP.
- Szyfrowanie: Komunikaty SSTP są szyfrowane przy użyciu protokołu SSL.
- Internet Key Exchange (IKEv2) - IKEv2 to protokół tunelowania używający protokołu trybu tunelowego IPsec przez port UDP 500.
- Kapsułkowanie: IKEv2 hermetyzuje datagramy przy użyciu nagłówków IPSec ESP lub AH.
- Szyfrowanie: Wiadomości są szyfrowane za pomocą szyfrowania AES lub 3DES za pomocą kluczy wygenerowanych w procesie negocjacji IKEv2.
Wymagania serwera
Uwaga: Oczywiście można ustawić inne systemy operacyjne jako serwery VPN. Są to jednak wymagania, aby serwer Windows VPN działał.
Aby umożliwić użytkownikom tworzenie połączeń VPN z siecią, musisz mieć serwer z systemem Windows Server i mieć zainstalowane następujące role:
- Routing i dostęp zdalny (RRAS)
- Serwer zasad sieciowych (NPS)
Konieczne będzie również skonfigurowanie DHCP lub przydzielenie statycznej puli IP, z której mogą korzystać maszyny łączące się za pośrednictwem sieci VPN.
Tworzenie połączenia VPN
Aby połączyć się z serwerem VPN, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.
Następnie kliknij Skonfiguruj nowe połączenie lub hiperłącze sieciowe.
Teraz wybierz połączenie z miejscem pracy i kliknij dalej.
Następnie wybierz, aby użyć istniejącego połączenia szerokopasmowego.
P
Teraz musisz wprowadzić adres IP lub nazwę DNS serwera VPN w sieci, z którą chcesz się połączyć. Następnie kliknij next.
Następnie wprowadź swoją nazwę użytkownika i hasło, a następnie kliknij przycisk Połącz.
Po nawiązaniu połączenia będziesz mógł zobaczyć, czy jesteś połączony z VPN, klikając ikonę stanu sieci.
Zadanie domowe
- Przeczytaj następujący artykuł na temat TechNet, który poprowadzi cię przez planowanie bezpieczeństwa VPN.
Uwaga: Dzisiejsza praca domowa jest trochę poza zakresem egzaminu 70-680, ale da ci solidne zrozumienie tego, co dzieje się za sceną, kiedy łączysz się z VPN z Windows 7.
Jeśli masz jakieś pytania, możesz tweetować mnie @taybgibb, lub po prostu zostawić komentarz.